🌙 LATE NIGHT MODE ACTIVATED — THE CLOWN IS WATCHING 🌙
InicioRecursosSeguridad → Fugas DNS

Fugas DNS
explicadas.

Tu VPN cifra tu tráfico. Pero si tus consultas DNS se escapan rodeando el túnel, tu ISP sigue viendo cada sitio que visitas. Eso es una fuga DNS.

⚡ La versión de un párrafo

DNS es cómo tu dispositivo traduce "example.com" en una IP de servidor. Normalmente esa traducción pasa en el resolver DNS de tu ISP. Cuando te conectas a un VPN, esas consultas deberían ir por el túnel cifrado al DNS del proveedor VPN — pero a veces no lo hacen, y tu ISP las sigue viendo. Eso es una fuga DNS. Tira por tierra casi toda la razón de privacidad por la que instalaste el VPN.

Qué hace de verdad el DNS

Cada dominio que visitas necesita resolverse a una dirección IP antes de que tu dispositivo pueda conectarse. Cuando escribes reddit.com, tu dispositivo le pregunta a un resolver DNS "¿cuál es la IP de reddit.com?" y el resolver responde (algo como 151.101.0.140). Luego la conexión real pasa contra esa IP.

Por defecto, tu dispositivo usa el resolver DNS asignado por tu ISP. Ese resolver ve cada dominio que consultas — un registro completo de cada sitio que has visitado, en texto plano, sentado en los servidores de tu ISP.

Cuando un VPN funciona bien, todas las consultas DNS se rutean por el túnel cifrado a un resolver DNS operado por (o para) el proveedor VPN. Tu ISP ve tráfico cifrado a un endpoint y nada sobre qué dominios consultaste.

Cómo se ve una fuga DNS

Una fuga significa que una o más consultas DNS fueron al resolver de tu ISP (o algún otro resolver fuera del túnel) en lugar de por el resolver del VPN. El contenido real de la página sigue cifrado por HTTPS, pero los nombres de dominio quedan expuestos. Unos ejemplos prácticos:

  • Te conectas a un VPN, luego visitas tu banco. El tráfico HTTPS de tu banco está cifrado end-to-end. Pero si el DNS se fuga, tu ISP tiene registro de que fuiste a bankofamerica.com a las 9:47.
  • Usas un VPN para buscar algo sensible. El contenido de la página está cifrado, pero la fuga le dice a tu ISP que visitaste healthcare.gov o aa.org.
  • Estás haciendo streaming de un servicio. El streaming en sí está cifrado, pero la fuga expone qué servicio usas (lo que puede interesar tanto a tu ISP, que a veces hace throttling al streaming, como a otros observadores).

El arreglo no tiene ambigüedad: frena la fuga. El objetivo de privacidad del VPN no funciona si el DNS se fuga.

Qué causa las fugas DNS

1. Configuración DNS a nivel SO

Windows tiene una feature llamada "Smart Multi-Homed Name Resolution" que manda consultas DNS a varios resolvers a la vez y usa el que responda primero. Incluso con un VPN activo, esto puede causar que las consultas se fuguen al resolver del ISP porque el resolver del ISP suele responder más rápido (está geográficamente más cerca).

macOS y Linux se portan mejor en general, pero las configuraciones DNS por interfaz aún pueden causar problemas. Android (después de la versión 9) tiene garantías más fuertes sobre rutear el DNS por el VPN activo — pero existen bugs y casos límite.

2. Fugas por IPv6

Si tu VPN solo tuneliza IPv4 (la mayoría, el nuestro incluido), pero tu dispositivo tiene IPv6 activado y tu red lo soporta, tus consultas DNS por IPv6 pueden fugarse. El arreglo: o tunelizar también IPv6 (algunos proveedores lo hacen), o deshabilitar IPv6 en el dispositivo mientras el VPN está activo (lo que hacemos en Android).

3. Bypass de DNS a nivel aplicación

Algunas aplicaciones hardcodean su propio resolver DNS y se saltan la configuración DNS del sistema por completo. La implementación DNS-over-HTTPS de Chrome, ciertas apps empresariales, y algún software VPN-aware pueden hacer esto. Estos bypasses suelen ser menos dañinos (las consultas van al DoH de Cloudflare o Google, no a tu ISP), pero igual se escapan del túnel VPN.

4. Proxies DNS transparentes

Algunos ISPs corren proxies DNS transparentes que interceptan las consultas DNS salientes a nivel red. Aunque tu dispositivo esté configurado para usar otro resolver, los paquetes son secuestrados. Esto es menos común en 2026 de lo que solía ser, pero aún pasa, particularmente en redes celulares de algunos países.

5. Cliente VPN mal configurado

Se supone que el cliente VPN empuja sus ajustes DNS a tu dispositivo. Si el cliente tiene bugs, está parcialmente configurado, o sale en modo de prueba, el DNS puede no capturarse bien. Los clientes VPN con reputación y bien mantenidos manejan esto correctamente; los VPN gratis turbios a menudo no.

Cómo detectar una fuga DNS

  1. Conéctate a tu VPN.
  2. Visita nuestro test de fugas DNS: /es/tools/dns-leak-test/. Muestra a qué resolver DNS fueron tus consultas.
  3. Mira los resultados. Si ves el nombre de tu ISP (Comcast, Verizon, AT&T, Spectrum, etc.) — fuga. Si ves Cloudflare, Google Public DNS, el resolver de tu proveedor VPN, u otra cosa que no sea tu ISP — probablemente estás bien.
  4. Contrasta. Corre el test en dnsleaktest.com (test extendido) y browserleaks.com. Si dos de tres coinciden, confía en ellos.

Cómo arreglar una fuga DNS

  1. Usa un VPN con protección contra fugas DNS. ClownVPN maneja esto en Android. Otros proveedores con reputación (Mullvad, ProtonVPN, IVPN) también. Muchos VPN gratis no.
  2. Deshabilita IPv6 en tu dispositivo si tu VPN no lo tuneliza. (En Windows moderno: Propiedades del adaptador de red → desmarca IPv6.)
  3. Fuerza un resolver DNS específico a nivel SO — el 1.1.1.1 de Cloudflare, el 9.9.9.9 de Quad9, o NextDNS. Esto no previene fugas per se, pero asegura que las consultas fugadas vayan a un sitio más seguro que tu ISP.
  4. Usa un kill switch. Si el VPN se cae, un kill switch bloquea todo el tráfico — incluido el DNS — hasta que el VPN reconecte.
  5. Si estás en Windows, deshabilita Smart Multi-Homed Name Resolution. Group Policy o una edición del registro. Busca instrucciones específicas para tu versión de Windows.

Lectura relacionada

🎪 Preguntas frecuentes

¿Cómo compruebo ahora mismo si tengo una fuga DNS?
Conéctate a tu VPN, luego visita nuestro test de fugas DNS gratis en /es/tools/dns-leak-test/. Muestra a qué resolver DNS van tus consultas. Si ves el resolver de tu ISP (Comcast, Verizon, AT&T, etc.) en lugar del resolver del proveedor VPN — tienes una fuga. Contrasta con dnsleaktest.com o browserleaks.com para una segunda opinión.
¿Por qué mi VPN sale como conectado pero el DNS sigue fugando?
Tres causas comunes. (1) El SO usa un resolver DNS hardcodeado que se salta el VPN — Windows en particular tiene 'Smart Multi-Homed Name Resolution' que puede hacer esto. (2) IPv6 está activado pero el VPN solo tuneliza IPv4 — tus consultas DNS por IPv6 se fugan. (3) Apps que hardcodean su propio DNS (el DoH de Chrome si lo activaste, algunas apps VPN-aware) pueden saltarse el DNS del sistema. ClownVPN maneja las tres correctamente en Android, pero los VPN de terceros varían.
¿Las fugas DNS son peligrosas, o solo un problema de privacidad?
Mayormente un problema de privacidad. Una fuga DNS significa que tu ISP (o quien corra tu DNS local) puede ver cada dominio que visitas, aunque el resto de tu tráfico esté cifrado. No ven qué haces en esos sitios — pero la lista de dominios a menudo basta para perfilar tu actividad. El tráfico en sí sigue cifrado; es el metadato lo que se fuga.
¿Puedo arreglar una fuga DNS sin un VPN?
Parcialmente. Puedes cambiar a DNS cifrado (DoH o DoT) usando Cloudflare 1.1.1.1, Quad9, o NextDNS — esto esconde tus consultas DNS de tu ISP. No esconde tus IPs de destino (esas siguen fugando en el ruteo normal de paquetes), así que es una defensa parcial. Un VPN cierra ambas capas a la vez.
¿ClownVPN tiene protección contra fugas DNS?
Sí. Nuestra app Android rutea todo el DNS por el túnel cifrado y los resolvers que operamos. También bloqueamos el DNS directo a tu ISP a nivel sistema mientras el túnel está activo. Por ahora no damos servidores IPv6, así que deshabilitamos IPv6 en el dispositivo durante la conexión para prevenir fugas DNS por IPv6. Puedes verificarlo corriendo nuestro test de fugas DNS mientras estás conectado.

🎪 Testea tu setup

Corre nuestro test de fugas DNS. Confirma qué está pasando de verdad.

🌐 Test de fugas DNS